root cez ssh

Neděle Leden 18 17:38:24 CET 2004

On Sun, 18 Jan 2004, Dalibor Straka wrote:

> 
> Priznam se, ze cely zivot balancuji mezi obema variantama. Ono to totiz
> az tak moc velke zabezpeceni neni. Aby se nedalo odchytit heslo na roota
> je vhodne pouzivat klice. Sice kdyz uz napadl ssh tak si asi muze
> precist privatni klice, ale je to bezpecnejsi.

Přidám k tomuto poměrně plodnému vláknu taky nějaké moudro.

Výše uvedené dilema se dá v případě Linuxu a počítám, že i u dalších Unixů 
využívajích knihovnu PAM, vyřešit tak, že k získání práv roota není 
potřeba znát jeho heslo.

Pokud se v /etc/pam.d/su povolí příslušné řádky, pak jsou práva uživatel 
root akceptována pro ty uživatele, kteří patří do skupiny "wheel". 
Samozřejmě příkaz "su -" také zapíše do logu, kdo se tím rootem stal, 
takže je to vhodné i na ty případy, kdy je více adminů.
Je pravda, že se to nejvíce uživí na serverech, na desktopu jsem třeba v 
případě MDK vyzván při spuštění příslušného nástroje na vložení hesla 
uživatele root.

Nakonec tak můžete mít heslo někde v obálce pro případ fyzické havárie a 
podobných událostí, nemusí ho kromě jednoho člověka nikdo vědět.

R.V.